Nova Opća uredba EU-a o zaštiti podataka (GDPR) stupit će na snagu 25. svibnja 2018. Kao rezultat toga, tvrtke svih veličina moraju proučiti promjene koje donosi GDPR te identificirati organizacijske i tehničke implikacije specifične za njih. S manje od mjesec dana do zadanog roka, mnoge se tvrtke još uvijek ne smatraju „spremnima za GDPR”. Mnoge od njih se bore kako bi implementirale ispravne politike IT sigurnosti i privatnosti. Računalstvo u oblaku i povećana razina zaštite podataka trebali bi ići ruku pod ruku. Osim početne nervoze, novi regulatorni izazovi mogli bi potencijalno otvoriti nove prilike kako za pružatelje usluga u oblaku, tako i za same korisnike.
TLDR? Preskočite na šest ključnih kriterija…
Uvod
Zaštita podataka i sigurnost podataka sve više dolaze u središte pozornosti u tijeku digitalizacije. Smatraju se ključnom kvalifikacijom za uspješno praćenje puta digitalne transformacije.
Pozadina i cilj GDPR-a je usklađivanje među državama članicama EU-a, kako bi na području EU-a vrijedio jedinstveni zakon o zaštiti podataka, a istovremeno se poboljšao pravni položaj onih na koje se odnosi. Evo nekih od najvažnijih promjena u svjetlu GDPR-a:
- Kazne za kršenja znatno su povećane – do 2 ili 4 posto godišnjeg prihoda, ovisno o težini kršenja.
- Prava pogođenih pojedinaca značajno su ojačana zahtjevima za transparentnošću i informacijama.
- Uz dobro poznate obveze u pogledu zaštite podataka, uvode se i nove obveze, primjerice za zadane postavke elektroničkih uređaja koje su prilagođene privatnosti.
- Nova se uredba primjenjuje i na tvrtke koje nemaju sjedište u EU-u, ali prikupljaju podatke od građana EU-a.
Izazovi
Donositelji odluka u tvrtkama i stručnjaci za sigurnost sada se pitaju kako će izgledati novi propisi GDPR-a. I kako bi se trebali pripremiti i provesti implementaciju GDPR-a. Osim toga, pitanje “spremnosti za GDPR” odjekuje među direktorima informacijske sigurnosti (CISO).
Velik broj poslovnih donositelja odluka pomislit će da je to “još jedna nova uredba iz Bruxellesa koju nitko nikada neće primijetiti”. Međutim, postoje dobri razlozi zašto GDPR treba uzeti u obzir. Prije svega, izmjene uredbe ojačat će prava svih uključenih. To može dovesti do značajnih financijskih sankcija kada su u pitanju buduća kršenja podataka koja utječu na građane EU-a.
Osim potencijalne materijalne štete, od velikog je značaja i potencijalna šteta za ugled tvrtke. Mediji jedva čekaju objaviti probleme s privatnošću. Ovo je pucanj upozorenja za sve tvrtke koje tek trebaju osigurati stručnost potrebnu za usklađivanje s novim zahtjevima. To je zato što će se stupanjem na snagu GDPR-a u svibnju 2018. kazne drastično povećati. S kaznama do 20 milijuna eura ili do 4 % godišnjeg prometa, tema GDPR-a privukla je pozornost na razini uprave u tvrtkama svih veličina.
GDPR u kontekstu računalstva u oblaku
Novi propisi o zaštiti podataka” ujedno su izazov i prilika. Ključni pokazatelj “spremnosti za GDPR” je način razmišljanja o zaštiti podataka unutar tvrtki i razina osigurane zaštite podataka, što znači što, gdje i kako poslovno kritični radni procesi funkcioniraju na infrastrukturi oblaka.
Za mnoge tvrtke, GDPR je složen projekt. Pravni, tehnički i organizacijski izazovi koje donosi GDPR do sada su samo djelomično usklađeni. Osobito u slučaju velikih migracijskih projekata u okruženju računalstva u oblaku, u IoT okruženju ili u scenarijima velikih podataka, svakodnevno poslovanje ostavlja malo vremena za brigu o provedbi GDPR-a. Međutim, uz brojne izazove u provedbi, GDPR također nudi priliku za isticanje redefiniranjem i implementacijom novih strategija zaštite podataka i IT sigurnosti, posebno u kontekstu računalstva u oblaku.
Kao rezultat toga, tema računalstva u oblaku otvara mnoga pitanja u kontekstu GDPR-a. U tehničkom smislu, računalstvo u oblaku je ugovor o obradi podataka. Stoga bi korisnik oblaka u svakom trenutku trebao biti u potpunosti svjestan načina na koji pružatelj usluga obrađuje njegove podatke. Pružatelji usluga u oblaku i pružatelji resursa samo podržavaju svoje funkcije i ovise o zakonskim zahtjevima nadležnog tijela. Drugim riječima, i pružatelji usluga u oblaku i tvrtke moraju ispuniti minimalne zakonske zahtjeve za svaku uslugu u oblaku prema GDPR-u.
Kako iskoristiti potencijalne izazove koji stoje iza GDPR-a? Postoje dva glavna pitanja. S jedne strane, tvrtke moraju znati kojim pružateljima usluga u oblaku mogu vjerovati. S druge strane, tvrtke moraju znati koje tehničke i organizacijske mjere moraju poduzeti kako bi bile “usklađene s GDPR-om”.
Prilike i obveze za CISO-e – pravi partner u oblaku
Pravi partner u oblaku može biti vrijedan sparing partner u svjetlu GDPR-a. Budući da sa svojom stručnošću u usklađenosti i sigurnosti mogu pomoći vašoj tvrtki da postane “spremna za GDPR”.
Ako primjenjujete strategiju s više oblaka, morate procijeniti politike zaštite podataka svakog pružatelja usluga u oblaku. Hibridni pristupi i pristupi s više oblaka znatno su složeniji za koordinaciju i stoga mogu predstavljati veći rizik za zaštitu podataka. Mnoštvo različitih pružatelja usluga u oblaku, posebno u okruženju javnog oblaka, otežava CISO-ima osiguravanje usklađenosti s GDPR-om. Usklađenost s GDPR-om jaka je samo onoliko koliko je jaka najslabija karika. Na primjer, kršenje ili neusklađenost od strane jednog pružatelja usluga u oblaku unutar implementacije s više oblaka može potkopati sve napore za uspješnu usklađenost s GDPR-om.
Šest ključnih kriterija
U nastavku smo naveli brzi skup kriterija koje možete koristiti za procjenu svojih potencijalnih partnera u oblaku (u smislu njihove usklađenosti s GDPR-om):
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]Sigurnost i privatnost
Prvi korak je procjena u kojoj je mjeri pružatelj usluga sposoban ispuniti vaše zahtjeve IT sigurnosti. Jedan jednostavan način na koji pružatelji usluga u oblaku mogu dokazati usklađenost sa sigurnošću i načelom „ugrađene privatnosti” (Privacy by Design) jest posjedovanje certifikata ISO 27001 ili ISO 27018. Ako ga nemaju, to mogu dokazati putem provedene procjene učinka na zaštitu podataka (DPIA) i/ili procjene sigurnosti.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Usklađenost tvrtke CloudSigma
CloudSigma je certificirana prema standardu ISO 27001, što osigurava da su svi aspekti naše infrastrukture i usluga koje se koriste za isporuku i upravljanje vašim oblakom usklađeni s najvišim standardom ISO certifikacije u pogledu sigurnosti i privatnosti podataka.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Upravljanje rizikom
Tvrtke koje rade sa širokim rasponom kritičnih podataka moraju pružiti dovoljna jamstva (u skladu s člankom 28. Uredbe GDPR). Ta jamstva moraju dokazati da voditelj obrade koristi:
“Samo izvršitelji obrade koji pružaju dovoljna jamstva za provedbu odgovarajućih tehničkih i organizacijskih mjera. I to na način da obrada ispunjava zahtjeve ove Uredbe i osigurava zaštitu prava ispitanika.”
Stoga morate osigurati da vaš pružatelj usluga u oblaku provodi redovite revizije radi provjere. Također, ocjenjivanje i procjenu tehničkih i organizacijskih mjera kako bi se zajamčila sigurnost obrade. Osim toga, morate osigurati da partner u oblaku svojim korisnicima daje pravo na reviziju.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma usklađenost
Kao korisnik bilo koje CloudSigma platforme u oblaku, imate službeno pravo na provođenje revizije sigurnosti, operacija i procesa u vezi s uslugama koje vam pružamo.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Lokacija podataka
Uvijek biste trebali znati gdje se općenito nalaze vaši podaci. Ipak, ne pružaju vam svi partneri u oblaku potrebnu transparentnost u vezi s lokacijama u oblaku. Imajte na umu da sjedište pružatelja usluga u oblaku ne mora nužno biti lokacija na kojoj se nalaze vaši podaci. Osim toga, neke tvrtke mogu premještati vaše podatke između različitih lokacija u oblaku u pozadini, a da vas o tome ne obavijeste. To može biti dio Uvjeta pružanja usluge partnera u oblaku. Na kraju, ali ne manje važno, pružatelji usluga u oblaku mogu pohranjivati podatke na više lokacija. A neke od njih mogu biti izvan EGP-a. Kao voditelj obrade podataka, morate definirati strategiju oblaka za više zemalja kako biste se uskladili sa zahtjevima adekvatnosti, kao i sa zakonima o lokalizaciji podataka.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma usklađenost
Kao dio naših Uvjeta pružanja usluge, CloudSigma je strukturirana tako da pravno odvaja lokacije u oblaku po zemljama. Kao rezultat toga, svaka lokacija podliježe isključivo lokalnom pravnom okviru. Sve to uz pružanje 100% lokalnog rješenja u oblaku za krajnje korisnike.
Lokacije također nisu tehnički međusobno povezane i CloudSigma osigurava najvišu razinu transparentnosti u pogledu točne lokacije podataka, koji se nikada neće prenositi između lokacija u oblaku.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Sigurnosne značajke
GDPR zahtijeva niz zaštitnih mjera za zaštitu podataka, od enkripcije u mirovanju i u prijenosu do kontrole pristupa te pseudonimizacije i anonimizacije podataka. Kako biste to postigli, odaberite partnera u oblaku koji nudi dovoljno sigurnosnih značajki među kojima možete birati. Na primjer – sigurnosno kopiranje, enkripciju, politike kontrole pristupa i druge. Ako vaš partner u oblaku nema takvu politiku, sami se morate pobrinuti za sigurnosne značajke.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma usklađenost
CloudSigma nastoji pružiti visoku razinu sigurnosti i privatnosti za korisnike uz izbor značajki i alata koji im omogućuju da osiguraju različite aspekte svog računalstva. Na našem blogu korisnici mogu pronaći brojne članke koji opisuju različite sigurnosne značajke kao što su enkripcija na razini pokretanja sustava, politike kontrole pristupa, provjera u dva koraka, SSH ključevi i druge.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
Vlasništvo nad podacima
Kao korisnik pružatelja usluga u oblaku, vi ste voditelj obrade podataka. To znači da morate zadržati kontrolu i vlasništvo nad vlastitim podacima. To možete postići potpisivanjem Ugovora o obradi podataka sa svojim partnerom u oblaku kako biste zajamčili da se partner pridržava zahtjeva za zaštitu privatnosti podataka u skladu s GDPR-om. Možete sastaviti vlastiti ili provjeriti je li vaš partner u oblaku izradio DPA kao standardni dio Uvjeta pružanja usluge. Prednost korištenja vlastitog je u tome što možete odrediti vrstu osobnih podataka i “posebnih” podataka koji se prikupljaju. Bez obzira na to koristite li DPA svog partnera ili vlastiti, pobrinite se da uvjeti jasno navode da je voditelj obrade podataka (tj. vi) vlasnik podataka i da izvršitelj obrade podataka (tj. partner u oblaku) neće dijeliti podatke s trećim stranama.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma usklađenost
CloudSigma je kreirala Ugovor o obradi podataka (DPA), koji korisnicima omogućuje usklađivanje s njihovim obvezama prema GDPR-u. Ažurirali smo relevantne dijelove naših Uvjeta pružanja usluge i Pravila o privatnosti kako bismo uputili na DPA i uskladili se s GDPR-om.
Osim toga, naša standardna Pravila o privatnosti vrlo su transparentan dokument koji opisuje svako prikupljanje, pohranu i korištenje podataka korisnika u oblaku.
Korisnici zadržavaju potpun i isključiv pristup svojim podacima na razini datotečnog sustava. Sustav CloudSigma nema pristup niti vidljivost unutar virtualnih strojeva (VM) ili pogona. Sustav upravljanja oblakom CloudSigma implementira okvir kontrole pristupa koji ograničava prava i pristup zaposlenika te bilježi radnje poduzete u sustavu.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Brisanje podataka
Morate se pobrinuti da nakon isteka ugovora s partnerom u oblaku možete preuzeti/izbrisati podatke. Također i da će partner u oblaku izbrisati podatke nakon što prekinete uslugu. Neki pružatelji usluga u oblaku (osobito kada su certificirani prema ISO-u) koriste standardizirana pravila za brisanje podataka nakon isteka ugovora. Pokušajte saznati koliko je vremena potrebno pružatelju usluga u oblaku da izbriše vaše podatke.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma usklađenost
U CloudSigmi sustav automatski upravlja svim podacima korisnika. To uključuje brisanje pogona, zakazano brisanje za zastarjele račune itd.
CloudSigma ne izrađuje kopije podataka s pogona klijenata. Jedina kopija nalazi se u našem oblaku, osim ako korisnik ne odluči klonirati pogon na drugi sustav za pohranu.
Osim toga, kao dio našeg Ugovora o obradi podataka, možete zahtijevati ispravak, brisanje, blokiranje i/ili stavljanje na raspolaganje vaših podataka tijekom ili nakon prestanka korištenja usluge.
[/vc_column]
[/vc_row]
Dakle, koliko je vaša vlastita tvrtka danas “spremna za GDPR”?
Slobodno nas kontaktirajte na dpo (at) cloudsigma.com za dodatne informacije o CloudSigmi i GDPR-u.
Izvori:
Komentari
Još nema komentara. Budite prvi.